數據庫安全能力內容——安全準入控制矩陣模型構建與實踐
發布時間: 2019.08.05 | 來源: 漢領信息

隨著企業的業務規模不斷擴大,信息化建設和網絡安全性工作的復雜性越來越高,安全部門工作的范圍更廣,企業的安全保障必須及時匹配業務的發展。

在企業數據的高利益誘惑下,不斷先進的武器化攻擊方法使得攻擊情報的收集更加便利也更加難以捕捉。面臨越來越多的威脅狀況,傳統終端安全和網絡安全顯得捉襟見肘,它們無法保護企業組織真正重要的東西--企業數據和應用程序。

顯然,要想保證業務連續性和數據安全,維持企業的核心競爭力,需要具備更高層次更全面更成熟的數據庫安全能力(參考DSMM數據安全能力成熟度模型)。數據庫安全能力,取決于承載企業核心數據的數據庫系統軟件,而后者已經成為業務運行和數據保護的基礎設施,首當其沖地躍上安全部門的數據安全能力建設工作的清單榜首。


1

數據庫安全能力如何建設?

保護企業數據庫和應用程序安全,滿足數據合規要求以及有效管控數據庫免遭數據竊取,是漢領信息一直專注在做的事情。本文將從數據庫的安全管控方面,介紹數據庫安全準入控制矩陣模型的構建和實踐,以此為企業的數據安全能力建設提供借鑒思路。

隨著企業信息化工作的開展,業務系統數據化明顯加快,數據被廣泛應用于企業內部支撐、合作經營、產品研發等。的確,數據共享促進了生產力發展,但同時也讓數據的邊界模糊,數據流動變得頻繁。因此,流通共享數據給企業安全訪問控制帶來了更高的挑戰。


2

傳統的身份認證和訪問控制局限性在哪?

因為傳統的身份認證和訪問控制是基于網絡層的訪問控制,劃分獨立數據網絡區域和運維管理區域,以IP資源(協議端口)為對象,控制力度較為寬泛,只能參與網絡傳輸層的訪問要求。而與業務系統有關的訪問控制,通常以系統功能為中心設計,通過控制用戶對不同功能界面的訪問來達到權限控制的目的。部分數據共享時,通常系統允許以文件或圖片方式保存,并在文件中添加水印,用于在信息泄露后的追溯,如果高權限人員對數據庫內具有流動性的單條數據進行傳播的話,系統往往不能進行有效控制。這些方式在數據中心級別資源池面前,便不足以支撐對企業內數據傳輸、數據交換、數據處理的更高細粒度的訪問準入控制要求。

漢領信息作為行業內領先的數據庫安全整體解決方案提供商,先后發布了基于登陸參數的數據庫準入控制、基于大流量的數據庫訪問控制的專利技術。其數據庫類安全產品,具有專業的全協議解碼模塊,識別和分析數據庫傳輸協議以及應用層的協議解碼,剝離SQL語句。通過流會話技術,對協議進行流重組,所有解析語句會被標記唯一的標識。在此基礎上,針對數據庫安全訪問的準入控制方面,總結形成了一個安全準入控制矩陣模型。

傳統網絡運維中,不注重數據安全的流向,關注點始終停留在網絡建設層面,對數據庫的訪問準入策略,元素使用網絡傳輸的來源與目標IP、目標端口及協議(TCP/UDP)。



3

對數據庫的訪問準入還能基于哪些元素?

要實現對數據庫訪問準入的控制,必須解決的問題是對數據庫協議的解析。首先需要從網絡流量中獲取數據庫的訪問流量,識別數據庫協議,例如Oracle的數據傳輸協議TNS、SQL Server傳輸協議TDS。

然后對數據庫流量協議數據包進行全協議解析,其中必然涉及到對加密數據庫信息的破解(如SQLServer的TDS協議,需要通過獲取加密證書實現加密登錄參數解析),從中識別可利用的獨特參數。


從以上對Oracle數據庫的簡短訪問請求中我們可以看到,除了訪問IP、端口和協議外,還能夠采集的參數信息包括客戶端應用程序名(navicat.exe)、客戶端主機名(DESKTOP-VCK0MFC)、客戶端主機用戶名(J),以及使用的數據庫賬號名(system)和實例服務名(xe),以上稱為準入控制因子。

主流應用中使用數據庫軟件種類眾多,協議類型、加密方法各不相同,我們通過協議解析獲得的數據庫應用協議內的參數信息也不相同,其部分舉例如下:


新的安全準入控制模型,將加入通過數據庫流量解析破解識別到的準入因子,形成更完善的可選控制因子集合。



在安全準入控制模型中,加入以上準入控制因子,便可以得到更高細粒度的訪問控制,準入控制策略也將變得更靈活。


4

如何實現矩陣模型?

企業內訪問數據庫使用的準入因子多種多樣,例如業務中間件與數據庫集群交互、業務應用后臺維護對數據庫的訪問、運維DBA利用工具對數據庫表的操作行為。而做到評估所有“需要知道”的訪問權限信息是非常困難且成本過高的,因此需要自動化且更智能的方法。

安全準入控制模型,基于大流量的數據庫協議全解碼技術,通過機器學習,實現對全網數據庫流量(包含業務系統請求的南北向流量、運維與數據中心內服務器交互的東西向流量)內安全訪問準入因子的自主學習,快速完善數據庫訪問策略,形成準入控制矩陣。


5

如何實現技術完美落地?

完善可視化的準入控制矩陣,形成了白名單式的安全規則配置,對數據庫的所有訪問行為,都需要進入準入控制矩陣進行混合匹配認證,只有符合復雜白名單規則的訪問才被允許。而不斷變換攻擊腳本程序、賬號以及目標設備的異常攻擊行為,都會被精準識別并及時阻斷。不管是業務系統的外來請求,還是服務器集群內的東西向交互訪問,實現完全杜絕非法行為的管控。

所以,數據庫安全準入控制矩陣模型的構建是以協議全解碼技術為基礎,識別多項準入控制因子,通過訪問內容的自主學習,形成的準入控制矩陣。對數據庫的訪問進行準入控制,對非理性和異常行為達到精準阻斷,有效落地企業數據庫安全能力。

數據庫安全準入控制矩陣模型是企業構建數據庫安全能力建設之中的一環,是實現靈活多變自適應式的且具有高細粒度訪問控制矩陣的最佳實踐。對企業而言,特別是在面對眾多以獲取企業敏感數據信息為目的的威脅面前,在未來以數據為中心的新經濟時代,通過整合來自人、流程和技術的輸入信息,有效構建并提升企業數據安全能力,才能在威脅來臨之際快速、自信地做出反應。

Copyright ? 2019 All Rights Reserved Designed
杭州漢領信息科技有限公司
友情鏈接: 開花店 北京蘋果售后維修 天然氣流量計 無損檢測 塑料加工 零件盒 重慶翻譯公司 歷史故事
群友捕鱼技巧